[NT DOMAIN]Account locked out na wijzigen wachtwoord

Situatieschets:

We hebben hier een NT4 domein, met daarin 4 windows 2000 terminal servers met Citrix Metaframe XP, en met name windows 2000 professional werkplekken.

De meeste van deze werkplekken starten na het inloggen direct door naar Citrix, via integrated logon, waar mensen hun desktop gedistribueerd krijgen.

Door de gebruikte wachtwoord policy moeten mensen iedere 42 dagen hun wachtwoord wijzigen, so far so good.

Maar:

Op het moment dat mensen naar aanleiding van het bericht dat hun wachtwoord verloopt (of verlopen is) hun wachtwoord wijzigen, betekent dit in de meeste gevallen dat korte tijd later hun account gelocked is. Het lijkt er dus op dat er ofwel met het oude wachtwoord verbindingen worden gelegd, ofwel dat het nieuwe wachtwoord nog niet overal bekend is

Iemand enig idee in welke hoek ik de oorzaak van dit probleem zou moeten zoeken, of beter nog, iemand die dit ook heeft (gehad)?

elevator schreef op 23 July 2003 @ 13:28:
Mogelijk probleem: Gebruikers wijzigen hun password (pas) in de Citrix sessie, Citrix gaat printen via het workstation, workstation weet niet dat het password gewijzigd is.

Dit zal zeker in de richting zitten, maar we maken geen gebruik van client printer mapping...

Het eerste stuk, dat mensen hun wachtwoord pas in Citrix wijzigen, ja, dat zou kunnen, ik ga eens op onderzoek uit Moet dus effe wachten tot vrijdagochtend en dan bij iedereen stiekum over de schouder meekijken *)

zwelgje schreef op 23 July 2003 @ 14:02:
Mischien dat de citrix machines toch nog een sessie open hebben staan van die user (die dus op de achtergrond met het oude account/password probeert in te loggen...)

maw: gebruikers hebben hun sessie's slordig afgesloten

Doordat het probleem zich over het algemeen in de ochtend voordoet, en de Citrix servers 's nachts netjes een reset krijgen kan ik dit redelijkerwijs uitsluiten. Maar het zou inderddad een oorzaak geweest kunnen zijn.
Thanx

CyberJ schreef op 24 July 2003 @ 13:52:
Wanneer je net je wachtwoord hebt gewijzigd, dan werk je deels nog met de oude credentials. Wanneer de ICA client dan door aanmeld, met de oude credentials kan je inderdaad tegen lockouts aanlopen.. (mits je in de policy hebt staan dat een account locked na X aantal foutieve aanmeldingen)

Mijn ervaring is dat je na een verandering van je password, je het beste opnieuw kan aanmelden.
Ik heb het ook regelmatig, dat ik 's ochtends mijn password wijzig, en dat ik tegen de middag steeds vaker meldingen krijg dat ik ergens niet bij mag..
* Rtificial is Domain Admin..

Na een reboot & logon is dat dan weer verholpen.
(De reboot is nodig omdat mijn PCtje heel vaak ook een uptime heeft van 60 dagen tegen de tijd dat ik mijn wachtwoord moet wijzigen..)

Okay, duidelijk verhaal, maarrrrrrr

Jij doet dat, IK doe dat, mijn collega PATRICK doet dat, en nu die andere 98 nog

Dat gaan we dus nooit voor elkaar krijgen. Dit is ook niet uit te leggen aan management/gebruikers. Waarom werkt hun wachtwoord niet direct, het werkt toch als ze aanmelden? Die problemen komen later pas....

Het zou in feite ook niet mogelijk mogen zijn als ze 's ochtends starten, hun password wijzigen, en verder inloggen. Pas na het wijzigen wordt de citrix-sessie gestart. Ik ben dus met name benieuwd naar wat er blijft hangen...

Blijven credentials van netwerkverbindingen bewaard als ze ooit eens aanmaakt zijn zonder [persistent:NO], in een mandatory profile?

Kwam zomaar in me op die vraag, dus ik kan daar nix van onderbouwen ofzo...

Verwijderd schreef op 24 juli 2003 @ 16:45:
Het uitleggen aan het management:

Jij: "je moet uitloggen als je je password hebt gewizigd."
Hun: "maar, Waarom werkt hun wachtwoord niet direct, het werkt toch als ze aanmelden? Die problemen komen later pas...."
Jij: "Dat is enu eenmaal de manier waarop het werkt. De problemen komen later pas vanwege de manier waarop domeinen en authenticaties in elkaar zitten. Afmelden en aanmelden, en je probleem doet zich niet voor."
Voor de echte volhouders kun je besluiten hun account niet te unlocken of gewoon met de hele IT dept. een team-building dagje te houden op een door jou te kiezen terras. (GSMs uit)

Mensen die niet willen dat iets werkt zoals het werkt omdat zij het maar stom vinden hebben niet voor niets hun systeem/netwerkbeheer aan jou uitbesteed.

Tuurlijk, als we geen oplossing kunnen vinden zal het hier ook uiteindelijk op neerkomen, maar dit verdient geen schoonheidsprijs.

Vooralsnog blijf ik nog even op zoek naar een oplossing.

Een oplossing zou kunnen zijn gebruikers hun wachtwoord pas bij het afmelden te laten wijzigen, maarja.... daar moet ik nog maar eens verder over nadenken....

Nou dat dus niet, maar dus wel de ICA client met integrated logon.

Maar aangezien mensen hun wachtwoord wijziging TIJDENS het inloggen, lijkt me dat het nieuwe wachtwoord gebruikt wordt voor het aanmelden in Citrix.